Hétpecsét Egyesület 75. fóruma
Csuka Dénes, az Egyesület titkára köszöntötte a megjelenteket, nőnap alkalmából külön a szakma nőtagjait, szólt az információvédelem aktualitásairól, a Budapesten tartandó NATO szakmai konferenciáról, s az Amazon S3 online tárhely-szolgáltatását érintő incidensről, kimaradásról.
Csuka Dénes, az Egyesület titkára köszöntötte a megjelenteket, nőnap alkalmából külön a szakma nőtagjait, szólt az információvédelem aktualitásairól, a Budapesten tartandó NATO szakmai konferenciáról, s az Amazon S3 online tárhely-szolgáltatását érintő incidensről, kimaradásról.
A januárban 12. alkalommal meghirdetett információ-biztonsági újságírói pályázatra 2017. április 28-ig még lehet jelentkezni.
Dénes Sándor, az ELMÜ Nyrt. biztonsági vezetője Szoftverrel támogatott információbiztonsági rendszer bevezetés az ELMŰ-nél címmel tartotta előadását. Áramszolgáltatóként az információ-biztonság, üzlet-folytonosság, ellátás-biztonság hármasát kívánja érvényesíteni a cég. Az ELMÜ-ÉMÁSZ 2 millió 300 ezer fogyasztót szolgál ki 2.800 munkatársának közreműködésével. Évente 17 terawattórányi (12 milliárd kWóra) elektromosságot értékesítenek, valamint 250 millió köbméter földgázt is. 110 feszültség-átalakító alállomást működtetnek elektromos hálózatukban. 2.300 kilométernyi magas-vezetésű 120kVolt-os vezetékkel, 18 ezer km-nyi középfeszültségű, és 26 ezer km-nyi szekunder kábelhálózattal rendelkeznek. A hálózat igénybevételére nyitottak más felhasználók számára is.
A vállalat információ biztonsága szempontjából jelentős év 2015. Az anyavállalat, s vele a leányvállalatok is ekkor váltottak IT szolgáltatót. A teljes EMASZ csoport a T-Systemhez vonult, s a teljes cégátalakítás is lezajlott ekkor, struktúra cserével. Ez érintette a közüzemi szolgáltatást, a lakossági fogyasztókat, a nagyfogyasztók versenypiacát, az elosztó tevékenységet, a vezetékhálózat üzemeltetését, és az ügyfélszolgálati tevékenységet is. Az átalakítás kockázatait igyekeztek a lehető legkisebbre csökkenteni. Idevágó gondok; az elektromos áramot nem lehet gazdaságosan tárolni, de a rendelkezésre állást mindig biztosítani kell. Rendkívül nagy mennyiségű adatot kezel a társaság; vannak amelyek a fogyasztókhoz kapcsolódnak (címük, fogyasztásuk, fogyasztói szokásaik, számlaszámuk) ami nagy, érzékeny adathalmazt jelent.
Saját szolgáltatásuk hálózati adatai is kiterjedt mennyiséget jelentenek; terhelési adatok, feszültség-adatok, az áram haladásának iránya, egyes kapcsoló-berendezések állása. Ezen információk rendelkezésre állása, valóságnak megfelelősége, elérhetősége kulcsjelentőségű a vállalat életében. Ennek megfelelő következtetés; ha van információ biztonság, akkor lehet üzletmenet folytonosság is.
Egyesített kezelőeszköz kell mindehhez, amelyhez rendelkezésre állt a már meglévő AMC.
Az eszközleltár szerint megtalálható AMC alkalmazásokból, s a támogatott folyamatokból indultak ki, ezeket kellett elsősorban megmozgatni. Fel kellett deríteni, élnek-e még ezek az alkalmazások és kik használják őket, a használaton kívüliektől meg kellett szabadulni.
https://www.amctechnology.com/company
https://www.amctechnology.com/solutions
Az egyedi hálózatvezetési üzemirányító rendszert is GTCS-re kicserélték.
Felújították hardver-eszközparkjukat is, s bevezettek egy változáskezelési rendszert az elhaló alkalmazások figyelemmel követésére. Az üzletfolytonosság tekintetében a megfogalmazott kiindulópont: „mi történik akkor, ha…?" Áttekintették folyamataikat a meglévő folyamatirányítási rendszerrel, a szervezeti változások figyelembe vételével. Az érzékenység-vizsgálat eredményeként nagy információ-halmaz keletkezett. Mintegy 200 folyamat zajlik a cégnél, mindegyikkel lefolytatták ugyanazt az algoritmust, beszélgetést, interjút. Ebben a felmérésben külső partner is segített. 200 folyamatból kellett kiválasztani azt a néhányat, amelyet elsődlegesnek kívánnak tekinteni.
Az üzletfolytonossági terv elkészítése folyamatnak tekinthető, mindig frissen kell tartani.
Összeállítottak egy paraméter-listát, s ha a halmaz minden eleme teljesült egy-egy folyamatban, akkor azt kritikus folyamatnak minősítették. Ezután összehívták az illető folyamatok gazdáit, s jóváhagyásukkal rögzítették a kritikusnak jelzett folyamat- minősítést. Amennyiben egy folyamat kritikus, akkor arra biztosan kell üzletfolytonossági terv. Előállt így az a halmaz, amelyre ilyet kell csinálni, ez vállalati és szabályozói elvárás is. A gondolat nem új, a módszer változott. Korábbi terveik szervezeti alapúak voltak, ez pedig folyamat-alapú üzletfolytonossági tervezést jelentett. Előnye; a folyamatok láncoltsága világosabbá teszi, melyik irányba kell tartalékolással elmozdulni. Eredményeket hozó szemléletváltás valósult meg.
Az említett interjúkat a folyamat-gazdákkal készítették, a cég szigorú folyamatirányítási rendszerének megfelelően. Ők azok, akik a napra-készségért, megfelelőségért és a többi követelményért felelnek.
Velük közösen dolgozzák ki az áthidalási terveket is. Az átalakítási folyamat végén kialakul egy folytonossági terv, valamint a kihirdethető, a követelményeknek megfelelő, elfogadásra alkalmas szabályzat. Előfordul, hogy a kritikus alkalmazásokat helyre kell állítani, ebben a vállalat irányadó partnere a T-System, amely a szolgáltatás színvonalát, esetleges helyreállítását szerződésben, SLA-kon keresztül biztosítja.
http://www.hr-face.hu/tudastar7.php
http://www.sla.hu/sla-modszertan/sla-modszertan-tartalmi-elemei-9.html
A vállalat információ–biztonsági rendszere illeszkedik a 27.000-es szabványhoz, bár nincsen tanúsítva, mivel eddig ez nem volt kötelező. A legutóbbi rezsicsökkentés eredményeinek fenntartása érdekében a vállalat számlázási rendszerét rendkívül szigorú feltételek mellett kell üzemeltetni, amiről évről évre számot kell adni. Egy külső cég végezte el idén is ezt az auditot, s a számlázási rendszert információbiztonsági szempontból megfelelőnek minősítette, a szoros elszámoltatásnak helytállóan.
A vállalatnál tudatában vannak az adatvagyon,s az azt érintő információ-biztonság jelentőségének.
Európa-szerte kampány folyik a hasonló nagyvállalatok körében az infromációvédelem tudatosságának erősítésére. Ennek megfelelően kötelező módon képezik itt is a munkatársakat, vizsgával ellenőrzik tudatosságukat és előre bejelentett módon támadásokat is hajtanak végre ellenük, pl. adathalász levelekkel. Vizsgálják a munkatársak eredményes közreműködését ezt illetően.
Ugyan, becsapós levél linkre való kattintáskor a munkatársat a hivatalos tesztelők nem zárják el az adatbázistól váltságdíjért, s nem orozzák el az e-mail jegyzékét, hanem további információkkal látják el a hasonló helyzetek elkerülésére…
Az adatvagyon felmérését a vállalat elvégezte, támaszkodva a korábban gyűjtött adatokra is.
Külső partnerek segítségével az összes folyamatgazdával interjút készítettek. A mindennapi munka támogatása során igazodnak a feszes költség-gazdálkodáshoz, az információ- biztonsági, folytonossági megoldásokkal kapcsolatos minden kiadást is indokolni kell. Tesztekkel kell felderíteni, hogy havária esetén (pl. vízbetörés esetén) milyen eljárást fogunk követni, mit fogunk tenni, a kiesett alkalmazások mennyi kárt okoznak, mennyi idő múlva lehet újra működőképessé tenni őket.
A fizikai biztonság biztosítása az alállomások védelme szempontjából fontos. A hagyományos felállás; kerítés, udvar, ajtó zárral. Ezt rögzítik az új rendszerben, minden elem biztonsági rizikójának felmérésével, ill. azok finomításának hatásával, pl. a kerítés magasságának növelése hogyan hat a biztonságra és a járulékos költségekre.
A vészhelyzetekkel kapcsolatos hallgatói kérdések:
A naptevékenység (napfoltok, napkitörések) kedvezőtlen elektromágneses, induktív hatásának kivédésére van-e a vállalatnak megoldási terve, esetleg nemzetközi együttműködésben?
A válasz:
A napkitörésekkel minden alkalommal foglalkoznak, mindig végigfut az energia-szolgáltatókon egy riadólánc révén az információ, eddig hazai viszonylatban az üzembiztonságot ezek a jelenségek nem érintették károsan. Számolnak vele, a mágneses erőterek megváltozásának hatása a védelmi berendezésekre, a távműködtetésre, kommunikációra eddig nem okozott gondot.
A tengeren túl mostanában ismét felvetődik az egyenáramú hálózatok bizonyos iparágakban való alkalmazásának hasznossága, felélesztésének kérdése, a hazai vállalatnak vannak-e vonatkozó szolgáltatási elképzelései?
A válasz:
A hatékony, biztosan kezelhető üzemet a váltakozó áramú hálózatok biztosítják, nagymennyiségű villamos energiát váltóáram révén juttathatunk a fogyasztókhoz. Praktikus megközelítésben, a váltakozó áramot egyszerűen lehet kikapcsolni. Egyenáramú villamosenergia nagy távolságra való továbbítása egyfajta cél-vezetéken valósítható meg, ilyen üzemel Dél-Koreában a szárazföld és egy sziget közötti tengeralatti kábellel, de nagy gondot jelent az esetleg szükséges kikapcsolás…
A váltóáramnál a szinusz nulla-átmenetnél nem okoz gondot a kikapcsolás (vagy kikapcsolódás), az egyenáramnál ilyen nincs. Magyarország és Ausztria között a rendszerváltás előtt létezett egy hasonló egyenáramú kábel, Ausztriában, a határ közelében a Magyarországról szállított villamos energiát egyenirányították, majd ismét váltóárammá alakították. Erre a váltóáramú hálózati frekvenciák eltérése miatt volt szükség, a magyar rendszer akkor 49,8 Hz-en járt, az osztrák pedig 50 Hz-en, emiatt nem lehetett a kettőt közvetlenül összekapcsolni. Ez az egyenáramú „kuplung" oldotta meg a gondot. Európában jelenleg nem foglalkoznak a gondolattal.
További elhangzott előadások:
Pozsár Attila menedzser, KPMG Tanácsadó Kft. – Hazai BCM Körkép 2016
Rónaszéki Péter, az ISACA Magyarországi Egyesület elnökségi tagja – IT vagy üzlet? Folytonossági kérdések az ISO27001 és ISO27031 tükrében.
Puskás Zsolt, HC eXpert Kft. – Indul az ESZP, adat-, és információ biztonság az egészségügyi szolgáltatási térben
Harmat Lajos